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单 向 网 络 安全 设备 的 分 析 与 证 明 
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摘 要 : 单 向 网 络 安全 设备 是 不 同 密级 间 网 络 信息 传输 的 主要 安全 设备 。 为 保证 单 向 网 络 安全 设备 内 部 的 安全 性 和 通 
信 系 统 的 安全 性 ， 分 析 了 单 向 网 络 安全 设备 的 安全 需求 ， 提 出 无 干扰 模型 形式 化 建 模 ， 用 数学 归纳 法 证 明 单 向 网 络 安 
全 设备 安全 需求 与 形式 化 策略 规约 的 一 致 性 ; 并 针对 单 向 网 络 安全 设备 存在 的 安全 隐患 进行 分 析 与 讨论 ， 总 结 出 更 加 
完善 安全 策略 ， 确 保 信息 安全 。 这 为 单 向 网 络 安全 设备 的 安全 性 设计 提供 了 一 定 的 借鉴 意义 。 
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Analysis and proof of one-way network safety equipment 


Wang Xuejian, Zhao Guolei, Chang Chaowen, Wang Ruiyun 
(PLA Information Engineering University, Zhengzhou 450001, China) 


Abstract: One-way network safety equipment is the major security equipment of information transmission between different 
classified levels. To ensure the safety equipment within the one-way network security and the security of the communication 
system , this paper analyzed the security requirements of one-way network security equipment, presented noninterference model, 
and proved the consistency of one-way network security equipment safety requirements and formal specification with 
mathematical induction. It analyzed and discussed the safety hazards of one-way network safety equipment, and the security 
policy was more perfect for information security. It plays certain referential significance on security design of one- way safety 
equipment. 
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今天 ， 关 于 单 向 网 络 安全 设备 的 安全 性 分 析 及 证 明 方法 已 
有 很 多 ， 但 都 缺乏 自身 性 、 理 论 性 基础 。 单 向 网 络 安全 设备 的 
近年 来 ， 随 着 网 络 间 流 量规 模 增 大 ， 计 算 机 遭受 攻击 的 风 ”安全 需求 由 自身 内 部 的 安全 策略 外 所 决定 ， 安 全 策略 模型 的 形 
险 不 断 增 高 ， 传 统 的 安全 手段 (如 防火 墙 由 、 入 侵 检测 3 ) 越 式 化 分 析 、 设 计 和 验证 正 是 当今 形式 化 分 析 研究 领域 的 热点 问 
来 越 难 处 理 其 相应 的 攻击 。 为 抵御 这 些 新 的 安全 威胁 、 减 少 系 ” 题 。 经 典 的 形式 化 信息 安全 策略 模型 有 信息 流 模型 证 、BLP 模 
统 存在 的 漏洞 ， 必 须 增 加 新 的 安全 设备 或 重新 设计 网 络 构架 钙 型 ta 、 无 干扰 安全 模型 山 等 。 由 于 读 、 写 等 操作 背后 隐藏 的 信 
以 提供 更 多 的 安全 功能 。 不 同 级 别 网 络 间 信息 的 双向 交互 , 使 。 息 流 并 不 像 字面 上 那样 明确 ,为 了 排除 隐蔽 信道 串 还 需要 增加 
得 安全 设备 内 部 通信 系统 外 信息 交互 的 复杂 度 进 一 步 增 大 ， 很 多 限制 , 但 无 干扰 安全 模型 不 仅 能 对 其 安全 性 进行 验证 ,还 可 
此 引入 单 向 网 络 安全 设备 钾 来 确保 低 保密 级 别 网 络 到 高 保密 级 以 指导 设计 者 对 信息 流 的 判断 (以 一 种 更 具有 包容 性 的 “ 读 ” 
别 网 络 的 信息 流动 安全 性 。 在 发 送 端 、 单 向 网 络 安全 设备 、 接 “ 写 ” 实 现 信息 在 传递 中 的 安全 性 ) 。 所 以 本 文选 择 无 干扰 安 
收 端 所 构成 的 通信 系统 中 ， 发 送 端 仅 发 送信 息 到 单 向 网 络 安全 ” 全 模型 对 单 向 网 络 安全 设备 的 策略 进行 安全 性 分 析 ， 并 证 明 其 
设备 中 ， 不 接受 任何 数据 ， 保 证 低 保密 级 别 安全 域 中 的 计算 机 ”功能 规约 与 安全 模型 策略 间 的 一 致 性 。 
或 存储 设备 向 高 保密 级 别 安全 域 中 计算 机 单 向 、 安 全 、 快 速 地 文章 介绍 了 单 向 网 络 安全 设备 ,同时 建立 出 它 的 抽象 模型 ; 
数据 传输 ， 即 使 高 保密 级 别 的 计算 机 被 非法 控制 ， 文 件数 据 也 介绍 关于 无 干扰 的 相关 研究 ， 并 且 根 据 Goguen 和 Meseguer 无 
不 能 向 低 保密 级 别 的 存储 设备 进行 数据 传输 。 常 见 的 单 向 网 络 。 干扰 模型 中 将 所 述 的 抽象 模型 进行 形式 化 转变 , 提出 相应 的 安 
安全 设备 有 单 向 网 阅 、 单 向 性 安全 网 关中 等 。 全 策略 ; 用 数学 归纳 法 钾 验 证 形式 化 后 的 模型 在 安全 策略 下 满 
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的 分 析 与 证 明 


为 确保 单 向 网 络 安全 设备 对 工 , 到 #., 的 信息 过 滤 , 模型 需 


录用 稿 王 雪 健 等 : 
足 其 需求 与 规约 的 一 致 性 ; 讨论 了 隐 通 道 吃 的 存在 情形 ， 并 提 

出 相应 策略 调整 以 确保 整体 通信 系统 的 安全 ， 最 后 给 出 关于 单 。 ”要 满足 以 下 两 个 安全 需求 : 

向 网 络 安全 设备 的 分 析 结 论 和 下 一 步 研 究 重 点 。 a) 过 滤 性 。 经 过 和 


1 ” 单 向 网 络 安全 设备 的 抽象 模型 


单 向 网 络 安全 设备 常常 被 应 用 在 涉 密 和 


E 涉 密 、 高 安全 和 


低 安 全 级 别 网 络 边界 ， 并 在 不 同 级 别 网 络 信息 交互 中 确保 高 级 


别 网 络 数据 的 机 密 性 和 完整 性 ， 如 


图 1 所 示 。 


数据 从 分 部 上 传 到 总 部 
( 单 向 传输 ) 


图 1 单 向 网 络 设备 应 用 场景 


一 个 单 向 网 络 安全 设备 控制 着 来 自 
在 单 向 网 络 安全 设备 内 包含 一 系列 通 
信息 ， 使 得 低 密级 网 络 域 中 主 / 客 体 (如 图 
网 络 安全 设备 传递 信息 到 高 密 es 


加 


自 


9 


总 部 ( 涉 密 单位 ) 


氏 级 别 网 络 的 输入 信息 ， 
言 模块 分 析 和 传递 这 些 
中 分 部 ) 能 


通过 单 向 


一 过 程 中 信息 的 传递 是 否 真 的 安全 ， 
此 引入 安全 模型 的 概念 。 
安全 模型 


中 [13] 


的 目的 是 精确 地 描述 系统 的 安全 需求 , 具 


中 总 部 )。 但 在 这 
步 考 察 与 分 析 ， 


如 


下 几 个 特点 : 它 是 精确 、 无 二 义 性 


的 ; 是 简单 、 


象 的 ， 具 有 


人 仅 涉 及 安全 性 质 ， 不 过 分 限制 系统 和 
安全 策略 的 一 个 清晰 的 表达 方式 。 


的 功能 及 其 实现 ; 


本 文 研究 的 单 向 网 络 安全 设备 与 低 保密 级 别 
接 高 保密 级 别 网 络 域 7 所 构成 的 通信 系统 为 确定 1 


抽象 结构 的 逻辑 组 成 如 图 2 所 示 。 


络 域 Lp 和 
生 同步 系统 ， 


网 


三 | 
ay 


低 保密 级 别 
氏 保密 级 别 网 
言 模 块 处 理 


图 2 的 逻辑 结构 表示 信 
果 密 级 别 网 络 域 #4 的 情形 , ! 
息 被 单 向 网 络 安 全 设备 内 部 通 
络 域 8.。。 


后 进入 


网 络 域 工 , 流入 高 
络 域 上 进入 的 信 
高 保密 级 别 网 


通信 模块 1 


通信 模块 2 


Lo 


单 向 安全 设备 


H "a 


H "rc 


通信 系统 逻辑 结构 


6 向 网 络 安全 设备 传递 到 其 


他 


必须 经 过 单 向 设备 内 部 的 通信 模块 过 滤 ; 


b) 单 向 性 。 
传递 是 单 向 的 。 
由 此 ， 下 面 
(图 3) 为 例 ， 作 出 如 下 功能 规约 : 


的 主体 执行 该 模块 中 命令 时 对 低级 别 主 体 满足 无 干扰 性 。 


” 通信 模块 1 


” 通信 模块 2 


网 域 的 信息 


单 向 网 络 安全 设备 内 部 任意 通信 模块 间 信 息 的 


区 


3 中 任 


” 通信 模块 n 


其 次 再 证 明 


1.1 


后 出 


错误 ， 使 其 更 合理 
模型 提 
本 质 上 ， 如 果 系 统 内 组 与 组 
系统 就 是 安全 的 。 


单 向 安全 设备 


以 单 向 网 络 安全 设备 内 部 信息 简单 的 串 行 传递 
E 意 模块 中 高 级 别 


图 3 


内 部 通信 模块 


串 行 结构 图 


区 式 化 证 明 出 单 向 网 络 安全 设备 安全 策略 


无 干扰 的 
期 


无 干扰 
该 单 向 网 络 安全 设备 在 


网 多 种 无 干扰 
Goguen 和 Meseguer 的 无 干扰 模型 


模型 


的 安全 性 ， 


本 


由 形 式 化 的 描述 出 单 向 网 络 安全 设备 模型 ， 


相关 研究 


Goguen 和 Meseguer 提出 信息 流 的 无 


安全 模型 (179 ， 


yi 


其 模型 策略 下 是 安全 的 。 


直到 1992 年 ， 


扰 ! 
Rushby 对 


思想 ， 随 


9 进行 改进 ， 


无 干扰 


[17] 
9 


能 够 更 


无 干扰 策略 模型 的 基本 定义 : 


并 容易 理解 ， 
出 一 种 根据 


无 干 所 
二 和 


修正 其 中 几 处 
模型 也 趋 于 成 熟 。 
”来 分 析 安 全 的 新 视角 。 
之 间 的 主体 不 互相 干扰 ， 
显然 ， 这 种 比 传统 意义 上 的 写 操作 更 具 包容 


那么 这 个 


简单 地 表达 策略 和 模型 。Goguen 和 Meseguer 由 
此 来 定义 安全 策略 模型 。 
1.2 无 干扰 策略 模型 


状态 机 ， 它 包含 一 个 主体 的 集合 5 ， 


集 


合 Q，,(Q={6,, 


个 输出 集合 


定义 1 


I < 的 效果 表 。 输 上 
的 机 器 输出 。 
设 wra'(c,,6) 某 系统 的 一 个 ; 


ee 


个 命令 序列 ， 
out (s,c,,6,) 是 在 中 our (c,,56,) 输出 的 一 
权 可 见 且 与 其 在 our'(c,,5) 中 输出 顺 


为 
权 


自然 数 ) ， 
8 可 见 的 输 d 


O, (OQO={0,0,... 
影响 了 这 条 实际 被 执行 的 命令 ， 所 以 这 里 用 
(2Z={z,z…} ) 中 的 一 


} ) 。 


首先 将 一 个 系统 x 视 为 一 个 
(5S={5,52,…} ) ,一 个 状态 
}) ,一 个 状态 命 令 集 合 C 人 (C={cc] ) ,一 
(实际 上 执行 命令 主体 的 等 级 
个 命令 集合 Z， 
C=Sx@ 列 出 )。 


i 为 正 整数 ) of (Cc,, 0,) 


个 状态 转换 命令 集合 
状态 转换 函数 tra:CxQ 一 8 ,描述 了 在 状态 5 下 执 
函数 out:Cx0 一 0 描述 了 在 状态 5 下 执 


个 集合 
序 一 


该 定义 表达 出 : 由 于 安全 策略 限 


即 : 函数 our(s,c,,5,) 表示 只 是 从 输出 中 才 
出 后 ， 所 得 到 的 输出 序列 。 
央 了 对 这 些 输出 的 访问 ， 


伏 态 转换 序列 〈 “, 为 一 
是 对 应 的 输出 。 那 么 
, 它 代表 主体 ;被 授 
致 的 输出 集合 (其 中 i 


1 除 没有 授 
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chinaXiv 


录用 稿 


s 可 能 会 看 不 到 所 有 的 输出 ,然而 s 也 可 能 不 会 拥 
知识 ， 所 以 还 需 如 下 定义 。 

定义 3 设 Gc5 是 一 个 主体 集合 ，AcZ 是 一 个 命令 集合 
定义 ze(c) (清除 函数 ) 为 从 < 中 删除 所 有 符合 seG 的 (*z) 元 
素 所 得 的 子 序列 。 定 义 zt(c,) 为 从 < 中 删除 所 有 符合 zsA 的 
(s,z) 元 素 所 得 的 子 序列 。 定 义 resCc) 为 从 c 中 删除 所 有 符合 
seG 且 zeA 的 (s,z) 元 素 所 得 的 子 序列 。 
直观 上 ， 如 果 任 何 用 户 可 见 的 输出 集 都 与 该 用 户 可 见 的 输 
入 集 相关 ， 那 么 这 个 系统 就 是 安全 的 。 以 下 定义 将 此 形式 化 为 
“无 干扰 性 ”。 

无 干扰 性 定理 。” 设 6.6 ss 是 两 个 不 同 主体 集合 ，Z1 SZ 
是 一 个 命令 集合 。G 中 的 用 户 在 运行 z, 中 的 命令 是 不 干扰 G 中 
的 用 户 ( 记 为 ,6:|G )，, 当 且 仅 当 对 于 所 有 由 C’ 中 元 素 组 成 的 
序列 c, 和 所 有 的 seG ， 有 : 
1.3 无 干扰 形式 化 描述 

现在 基于 2.1 节 无 干扰 模型 形式 化 
备 模 型 及 其 策略 。 

将 图 3 中 模型 视 为 一 个 系统 X=(5,8,0,Z) ， 即 ; 


所 有 命令 的 


out (s,cC,,6,) = out (s, NGz (C,),0,) 。 


者 述 出 单 向 网 络 安全 设 


5S : 一 个 主体 的 集合 ft 有 (7 为 正 整 数 ) ; 4: 一 个 
状态 集合 {6,6,…) ,其 中 5 为 系统 初 态 上 且 


名 ={(545 人 S660)…(5,, 态 )，0 :一 个 输出 集合 {0.0..…} ，Z :一 个 
命令 集合 faa] ,其 中 定义 状态 转换 命令 为 C=5xQ ,用 
{Guoj Give) 表示 。 

若 典型 安全 设备 内 部 通信 模块 1 为 外 网 通信 模块 ， 通 信 模 
块 2、4 为 过 滤器 模块 ， 通 信 模 块 3 为 加 密 模块 , 通信 模块 5 为 
内 网 通信 模块 ， 将 图 3 形式 化 表示 成 如 图 4 所 示 。 


回国 加 n> 加 


图 4 内 部 模块 模型 


表示 外 网 通信 模块 ， 模 块 内 任意 主 /客体 状态 记 为 @ ; 
, 瑟 分 别 表示 两 个 过 滤器 模块 ， 模 块 内 任意 主 /客体 状态 分 别 
记 为 5、5; 表示 据 加 解密 模块 ， 模 块 内 任意 主 /客体 状态 记 
为 ;表示 内 网 通信 模块 , 模块 内 任意 主 /客体 状态 记 为 8 。 
当 整 个 网 关内 部 有 两 个 主 /客体 w%,s 时 ， 令 其 执行 状态 转换 的 
命令 域 分 别 为 dontc,) ， dom(e,,)。 


图 4 中 涉及 的 信息 传递 的 状态 转换 如 图 5 所 示 。 


mk 


Rd 和 5 [el | 


机 到 + B+ 全 本 上 [7] 


PIR 
辣 阅 Bd Bd 


[ea] 


i ee 一 mm 的 上 一 网 


图 5 内 部 模块 信息 传递 图 


由 2.1 节 中 定义 1、2 可 类 似 定义 : 
状态 转换 函数 wa:CxQ 一 8 ,描述 了 在 状态 5 下 执行 命令 “ 
的 效果 。 对 于 主体 % ， 其 中 实际 有 效 的 状态 转换 为 : 


tra((s, ,0),00)=0 tral(s, ,03),0,)=6, 


5 tral(si ,C2),01)=0, 
tral(si,04),)=5, ， 其 余 状 态 转换 命令 皆 未 使 状态 发 生 转变 。 
输出 函数 ou:CxQ 0 ,描述 了 在 状态 5 下 执行 命令 的 机 
器 输出 《此 时 该 状态 下 主 /客体 的 个 数 ) 。 
函数 our(s,,c,5) 表示 只 是 从 输出 中 删除 没 
输出 后 ， 所 得 到 的 输出 序列 。 


清除 函数 与 定义 3 中 一 致 。 
2 ”需求 与 形式 化 策略 规约 的 一 致 性 证 明 


现在 用 形式 化 方法 和 数学 工具 证 明 此 时 单 向 网 络 安全 设备 
的 策略 满足 无 干扰 性 ， 由 无 干扰 模型 自身 限制 ， 现 考虑 不 同 级 
别 信 息 传递 的 情形 〈 相 同 级 别 信息 见 第 4 章 ) 。 

a) 对 于 模块 7 内 部 ， 若 5,5 是 两 个 不 同 的 主 / 客 体 且 
， 状 态 转换 如 图 6 所 示 。 


授权 5 可 见 的 


level(s, < level(s, ) 


ey 


(Si1,C2)/ (S11,C3)/***/(Si, Cn) 


(S50) | 


(Sluvca) 


(S12,C2)/ (S12,C3)/**-/(St2,Cr) 


图 6 模块 7 内 信息 流动 


显然 模块 内 部 主体 % 和 5 的 命令 是 隔离 的 ， 
dom(c, ) J dom(c, ) Zz 且 
无 干扰 性 定理 可 知 : 
out (CA ,CO ) = out (s, Ts, ae )(C,), 6) 

举例 ”由 于 模块 7 内 部 主 /客体 5 所 能 观察 的 状态 仅 为 2 ， 
所 以 仅 需 考 虑 上 式 i=0 的 情况 .不 失 一 般 性 , 令 在 系统 初 态 下 ， 
ee 然 数 ) 个 ， 
( 4 为 空 命 令 同 - 对 主体 有 


dom(c, ) MN dom(c, )= 全 。 


即 out(s, . co0,00) = 711 


out(s, ,C0;00) =m, 。 


取 c=(5, ,0)(s0,0)(si,c0)(s0,c)) (其 中 i， 


j 为 正 整数 且 i， 


j#1) 。 
当 系 统 在 模块 7 中 执行 c, 命 
om (Cs cc)=(Cm)Oa-D ， 显 然 


Ts dom(es, ) = (Ch ,Gi )(s, ,C1) 


令 序 列 后 ， 则 


dom(c, j) 己 ZZ 


,Ou Gs Ti me 0) 5) = Nm -Dd) ， 则 : 
Out (s, ,630%) = 0ut (5, ,7, gone, (0:)) 1， 记 为 dom(c,, ),5, :| 5, 。 
综 上 ， 工 模块 内 部 是 无 干扰 安全 的 ， 同 理 ， 单 向 网 络 安全 
设备 内 部 各 单个 模块 都 满足 无 干扰 性 。 
b) 对 于 整个 网 关内 部 模块 的 串 形 复合 " ， 
例 ， 如 图 7 所 示 。 


以 模块 工 、 五 五 为 
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(Su,C)/(SmCa)/ AS cs) 


(55,50) | 一 一 


(SuCJ/(SuCj//SuCy 


(Sh, 5 3) 


(sh,C) 


(Sk,C2)/ (Sb, Cs)/"**/(Sh, Co) 


P| 


(ShG) 


(Sk,Ci)/ (St,Ca)/***/(St, Cs) 


| (S50) i] (hd | 
"0 (Sh,C) (Sk,C:) 
图 7 复合 串 行 模块 间 信 息 流动 
无 干扰 定理 可 知 ， 若 ,5 是 两 个 不 同 的 主 /客体 


<2> 若 out (si1,c,,0,) = out (sc,1, tra((s, ,9) 时 ， 


“2 tra((s, ,0),00)=0 ，.. out(sis Coa tral(s, ,00),60)) = out (co 


了 


level(s, )<level(s,) , 令 所 有 与 5% 相同 级 别 的 主 /客体 所 组 成 的 集合 


记 为 ,所 有 与 5 相同 级 别 的 3 


ZS2 是 一 个 命令 集 


所 有 的 % sw , 若 证 


312 中 的 | 


so :| 5 ) o 


现 证 
证 明 


ZS 


:| 即 可 。 


上 可 知 ， 


合 , 对 于 所 有 


out ‘(gisC. ,00) = out Cs Ta (Cs),0) 即 可 。 


采 


采用 数学 归纳 法 ， 


(1) 基础 步 : 
<1>llell=0 时 ,上 式 显然 成 立 ; 


<2>|lel=1 时 ， 即 :De 
@@ 若 GC =(5, ,0;) 〈 j 取 了 
(c), 5)=ourloic ,Oo) 


得 out (sz 


$1221 


@ 若 6=(5,,6) (上 取 


=Co， 


/客体 所 组 成 的 集合 


有 out (si Cs»6;) 有 out (Si, Ny, (co) 。 
户 在 运行 中 的 命令 是 不 干扰 5 


上 式 成 立 ; 
E 整 数 ) ，5, e544 ， 则 Il=0， 显 然 可 
， 即 :上 式 成 立 (7 en ; 
FE 整数) ， 


Out (sn,C;,60) = OU (sn,tra((s,, ,Ci), 00)) 


Sl ESa » 


C 中 元 素 组 成 的 序列 


= out ($1,00) 


Tz (c,),60) = ou (sn,0,) 》 则 上 和 式 成 立 。 


记 为 54, 设 


C. 和 


5 


则 等 价 于 证 明 
中 的 用 户 ( 记 为 


此 时 有 Sdom(c,,) 且 i=0, 即 证 


令 ]c 为 c; 中 命令 的 个 数 。 


有 2 =(5, ,6;) ， 口 
而 


(2 ) 假 设 步 : llcllsn 时 OU (SiC;» 00) = Out (sn, Ns,2, (0,),6,) 也 成 立 。 


cl=na+l 时 ， 


<]1> 若 out (si,C,,6,) 三 out (sn Cs Ts, ,0;),00)) 时 ， 


今 out(si,c4,00)=m (mm 为 趾 


ol (si1,C;1,60) = out (sn, 7,,2 (C4), 6) ， 


得 
OU (si, 
(3) 归纳 步 : 
Q@ 当 i=1 时 ， 
对 于 ourlc 6) 
2 sn 有 Gs, ,0) EZ 
,Oul(Si, Tz ( 
结合 假设 


步 (2) 有 : 


ah 


60),0)=m-1 。 得 : out(sn;6,,60)=out(si, 7,,z(c,),0) 


tra((s, ,01),00)=0 
E 整 数 ) ， 则 ; 


假 
即 : 


Out (sc 2)=OU (sn, 


@ 当 i#1 时 ， tra((sii,C;),00)=0, o 


OU Cs 1,tra((s, ,C1),00)) = ou (sc 0) ,结合 (2) 


Out (sn,C,1, 00) = out (sn, 


ESn 且 (天 y 


A 


设 步 


Out(si, TA 


out(sin,C;,00)=m-1, 


RACINE 


,out (Sis 二 (Ch 60) =0ut (si, ,2 (Cs),6,) 


out (sc 4tra((s, ,6; ),6) = out (sc 41,00) = out (Si Tz (c,1),0,) 


证 毕 ; 


(2) 可 知 


(C6) =m, 


» 


证 毕 ; 


Ph 假设 步 可 得 : 
。 即 : 


=OU ($i, 7,, 2 (C,), 6) 


» 


[ 假设 步 可 得 : Out (si1,C;1 00) = out CT (c ,00) 。 

R856) EL, ,ou (si Tz (C1), 00) = ou (sn, Ty,2 (C5), 6) 。 

即 : out (sn,c,,60) = out (sn, 7,,2,(c;), 600) ， 

证 毕 。 

综 上 原 命 题 成 立 ，5 中 的 用 户 在 运行 dom(c,) 中 的 命令 是 
不 干扰 5 中 的 用 户 ( 记 为 dom(cs,),sw :sn ) 。 同 理 可 得 : 若 单 向 
网 络 安全 设备 内 部 模块 间 串 行 连接 , 当 不 同 级 别 的 信息 传递 时 ， 
单 向 网 络 安全 设备 内 部 系统 是 无 干扰 安全 的 。 

显然 ， 由 上 已 证 明 出 这 一 模型 中 任何 用 户 的 输出 集 都 与 该 
用 户 可 见 的 输入 集 相 关 ， 则 表明 系统 X 关于 策略 7 是 无 干扰 安 
全 的 。 类 似 的 ， 可 以 得 出 结论 : 如 图 2 所 示 的 通信 系统 此 时 也 


是 无 干扰 安全 的 。 
3 ， 隐 通道 问题 及 其 改进 


出 现 同 级 别 信息 在 单 向 设备 内 部 传递 时 ， 对 于 单个 模块 
言 息 传递 而 言 系统 安全 显而易见 ， 现 仅 考 虑 模块 复合 情形 ， 经 
理 分 析 发 现存 在 泄密 行为 〈 隐 通道 ) 。 隐 通道 是 一 种 通信 通 
但 它 不 是 系统 设计 者 用 来 通信 的 信道 ， 因 而 它 能 绕 过 系统 
基 安 全 机 制 ”2 检查， 使 得 进程 能 以 违反 系统 安全 策略 的 方 
式 传递 信息 ， 从 而 对 系统 的 安全 造成 威胁 。 
3.1 内 部 隐 通 道 
通常 单 向 网 络 安全 设备 内 部 存在 同 级 别 模块 的 复合 ， 在 实 
际 信息 传递 过 程 中 都 存在 缓冲 区 CR (cache region)， 不 失 一 般 
性 ， 以 外 网 通信 模块 上 和 过 滤器 模块 五 间 的 消息 传递 为 例 。 
8 中 ， 缓 冲 区 CR 连接 外 网 通信 模块 工 与 数据 过 滤 模 块 
五 ， 在 模块 工 内 部 ，% 为 相同 级 别 主 /客体 信息 的 信息 包 ， 
ss Esn ， 有 !evel(s,)=level(s,) 。 ,为 复合 后 的 输出 缓冲 区 ， 任 
何 用 户 都 可 以 读 该 缓冲 区 。3; 为 复合 后 的 输出 缓冲 区 , 接收 模 
块 五 的 输入 。 CR 为 主体 % 信息 从 模块 工 到 模块 五 的 缓冲 区 ， 
CR, 为 主体 信息 从 模块 工 到 模块 五 的 缓冲 区 ， 主 体 % 和 5 可 
以 向 对 应 的 缓冲 区 进行 写 操作 ， 五 可 以 从 这 些 缓冲 区 读 取 信息 ， 
主体 5 和 5 都 可 以 写 缓冲 区 CR ， 而 五 可 以 读 这 个 缓冲 区 。 
图 8 描述 了 这 种 复合 


问题 及 


I 


[Xx 


ul 


如 


| 人 
(su 5 »| CR (Su 5 
Sl | ,| CR 
区 5 | | CR (so 5 
和 | j 
L CE 已 
图 8 同 级 别 信息 包 流 动 
如 果 所 有 缓冲 区 的 长 度 都 是 有 限 的 , 并 且 使 用 阻塞 式 趾 的 


发 送 与 接收 。 不 矢 一 般 性 , 假 让 
5 循环 地 执行 算法 7 : 
1. 主 体 5 发 一 个 消 ， 


没 缓冲 区 CR 和 CR 的 长 度 都 是 1， 


筷 给 CR 。 


" 


昌之 填 满 缓 冲 
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2. 主 体 5 给 CR 发 第 二 个 消息 ; 若 子 信息 包 的 大 小 和 对 应 的 缓冲 区 大 小 恰好 一 致 ， 此 时 ， 
3. 主 体 5 给 缓冲 区 发 一 个 0; 在 模块 工 向 模块 五 传递 消息 时 ， 信 息 包 (%,%) 执行 算法 1 第 一 
4. 主 体 5 给 CR 发 一 个 消息 ， 告 诉 模块 五 ， 主 体 % 已 经 完 ” 步 ， 且 信息 包 (9%) 《Goo0sGo9%) ) 执行 算法 7 第 一 步 ， 若 

成 了 一 次 循环 。 模块 五 在 及 中 读 到 一 个 0, 主体 5 完成 上 述 算法 的 后 续 ， 信 息 
主体 5 也 使 用 相同 的 算法 ， 但 是 它 用 的 是 CR, 而 不 是 CR ， 包 (%,5) 被 写 入 缓冲 区 CR ， 绥 冲 区 B 中 也 被 写 入 了 一 个 0; 

并 且 写 一 个 1 到 B， 并 记 该 算法 为 7。 同 理 ， 关 模块 在 Bi; 中 读 到 一 个 1， 主 体 5 完成 上 述 算法 的 后 
模块 二 在 Bi 中 读 一 个 比特 , 如 果 从 B; 中 读 到 的 是 0, 然后 。” 续 , 而 缓冲 区 B, 中 也 被 写 入 了 一 个 1。 因 为 leve1(B) < level(B,,) ， 


从 CR 中 收 一 个 消息 , 或 如 果 从 Bi 中 读 到 的 是 1, 然后 从 CR 中 ”所 以 绥 冲 区 B 和 5 被 隔离 ， 主体 5 无 法 读 取 缓冲 区 Bi 和 B,， 
收 一 个 消息 ， 最 后 从 中 CBR, 收 消息 (使 得 该 缓冲 区 可 再 次 被 填 ”此 时 系统 是 安全 的 。 


满 ) 。 综 上 ， 当 单 向 网 络 安全 设备 内 部 各 个 模块 间 采 用 品行 连接 
具体 分 析 如 下 : 且 各 模块 内 部 同 级 别 主 /客体 信息 信息 包 仅 有 一 个 与 之 对 应 的 
在 模块 二 向 模块 五 传递 消息 时 ,主体 % 和 上 分别 执 行 各 算 ”缓冲 区 时 ， 该 单 向 网 络 安全 设备 内 部 系统 是 安全 的 。 


3.2 通信 系统 安全 性 
岗 考 虑 由 发 送 端 、 单 向 网 络 安全 设备 、 接 收 端 所 构成 的 整 
的 后 续 ， 而 缓冲 区 B 中 也 被 写 入 了 一 个 0; 同 理 ， 若 模块 有 在 ”体系 统 安全 性 22 。 不 失 一 般 性 ， 可 以 假设 出 几 种 不 同 级 别 用 


法 第 一 步 , 若 模块 五 在 Br 中 读 到 一 个 0, 主体 8% 完成 上 述 算法 


83; 中 读 到 一 个 1， 主 体 完成 上 述 算法 的 后 续 ， 而 缓冲 区 3, 中 户 信 息 在 系统 中 的 传递 路 径 ， 如 图 10 所 示 。 

也 被 写 入 了 一 个 1。 即 : 模块 五 读 到 的 的 信息 将 被 一 一 复制 于 图 中 工 yc 、 忆 ea 、 nes 分 别 为 低 保密 级 别 网 络 端 志 的 用 

缓冲 区 3 中， 高 级 别 模块 信息 通过 隐 通 道 (如 图 虚线 所 示 ) 流 户 且 level(L pa)=level(L pes)<level(Lpcs) ， Hpa 和 Hpcs 分 别 为 高 保 

入 低级 模块 ， 此 时 单 向 网 络 安全 设备 内 部 系统 是 不 安全 的 。 密级 别 网 络 端 有 ,接受 来 自 Loc 、Lrcs 和 Lzcs 信 息 的 用 户 且 
在 上 述 实例 中 ， 有 限 长 度 并 且 使 用 阻塞 式 发 送 与 接收 的 缓 。 ”ievel(H_pa) <level(H_pcs) ， 通 信 模 块 AB.C.D.F 分 别 由 通信 模块 串 


冲 区 充当 了 泄密 的 隐 通 道 ， 为 了 防止 这 一 现象 的 泄密 ， 提 出 以 ”” 行 构成 的 集合 (简称 通信 串 集 ) 且 4mBmCmDnmF=G。 
下 改进 方案 〈 即 策略 完备 性 中 闻 ) ， 如 图 9 所 示 : 


L_rc 下 通信 模块 集 A 
-i + 通信 模块 集 B ot ) 浊 
L 通信 模块 集 
| (Sh, 5 1) 
Fi I 
通信 模块 集 D |-|----------------| H 
图 9 模块 复合 时 信息 流动 
每 个 同 级 别 主体 信息 所 构成 的 信息 包 在 相 邻 模块 间 传 递 时 | 


仅 经 过 一 个 缓冲 区 ， 如 图 9 所 示 ， 信息 包 5 和 s, 有 
level(si)>level(sn) ， 则 两 信 息 包 的 输 出 绥 冲 区 为 B, ， 8B, 
( level(B,\) <level(B,) ) 。 


第 4.1 节 的 分 析 结 论 , 可 知 图 10 中 的 个 别 信息 流动 的 协 
不 失 一 般 性 ， 将 (54,60),(5,6,) 当成 一 个 信息 包 和 集合， 作 会 使 得 整个 通信 系统 处 于 非 安全 状态 ， 所 以 必须 作出 如 下 策 
(3%:60),G5560) ES (sm5%) ， 则 令 信 息 包 G5) 内 Gi,%%) 、(56.60) 等 子 ”上 略 改进 以 使 得 单 向 网 络 安全 设备 达到 预期 的 安全 效果 ,如 图 11 
集 循环 的 执行 算法 1 ,信息 包 (5,,6,) 内 子 集 循环 的 执行 算法 7 。 ”所 示 . 


Lra 
La | Hera 
| 通信 模块 12 H_ra 
通信 模块 3 上 一 
或 Le 
Le。 » Ho 
Lee | 睹 一 一 一 证 。 通信 模块 3 。 ||- 二 Ha 
Lo 单 向 安全 设备 Hs Es 单 向 安全 设备 Ho 
图 11 改进 后 信息 传递 图 


孙 用 入 Eo ; 


即 单 向 网 络 安全 设备 内 部 仅 含 有 一 个 通信 串 集 或 同 保密 级 
别 网 络 端 内 同 级 别 用 户 仅 由 一 特定 通信 串 集 处 理 。 信 息 在 此 结 
构 传递 时 整体 通信 系统 是 安全 的 。 


4 ”结束 语 


在 传统 意义 上 ， 人 们 经 常 依靠 自身 经 验 去 设计 单 向 网 络 安 
全 设备 ， 其 自身 的 安全 性 难以 就 阐述 。 本 文 利用 无 干扰 模型 形 
式 化 分 析 与 讨论 单 向 网 络 安全 设备 的 安全 性 ， 并 通过 严格 的 数 
学 证 明确 定 其 完备 的 安全 策略 。 得 出 如 下 结论 : a) 在 单 向 网 络 
安全 设备 内 部 ， 各 个 通信 模块 间 采 用 串 行 连接 ， 且 各 模块 内 部 
同 级 别 主 /客体 信息 信息 包 仅 有 一 个 与 之 对 应 的 缓冲 区 时 , 单 向 
网 络 安全 设备 是 安全 的 ; b) 若 发 送 端 、 单 向 网 络 安全 设备 、 接 
收 端 所 构成 整个 通信 系统 是 安全 的 ， 则 单 向 网 络 安全 设备 内 部 
含有 一 个 通信 串 集 或 者 发 送 端 内 同 级 别 用 户 仅 由 一 个 特定 通 
言 模 串 集 处 理 。 由 此 可 见 ， 这 种 设计 所 存在 明显 缺陷 ， 对 同 级 
别 用 户 来 说 ， 等 待 同一 同 信 模 块 的 处 理 是 耗 时 的 ， 所 以 应 考虑 


使 得 单 向 网 络 安全 设备 内 部 通信 模块 处 理 能 力 远 大 于 读 取 能 
后 面 的 工作 当中 ， 将 对 单 向 网 络 安全 设备 中 各 个 模块 内 部 


言 息 的 复合 传递 进行 进一步 细 化 及 其 分 类 ， 利 用 形式 化 分 析 方 
法 和 数学 工具 近 一 步 证 明 各 模块 内 部 的 行为 与 其 代码 一 致 性 ， 
从 而 得 到 一 个 经 过 严格 完整 证 明 的 单 向 网 络 安 全 设备 。 
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